nkolska
(Dzanet523)
13 Sierpień 2007 17:55
#1
Witam,
Wlasnie odkrylam, ze komputer moich rodzicow poza zasłoną Windowsa nie miał żadnej ochrony (żadnego antywirusa ani firewalla). Strasznie jest zamulony, 2 dni musialam go mieć wlączonego, żeby zainstalować avast, Zonealarm, przeskanować Sbybotem i ewido. Wykasowałam wszystko, co znalazło, ale nie za bardzo pomogło. Oczyściłam dysk, odinstalowałam niepotrzebne programy itd. Acha co jakiś czas otwiera się samodzielnie strona pl.errorsafe.com z linkiem do downloadu, chyba też jakiś wirus… Nie wiem już co mogę zrobić, żeby komputer zaczął działać normalnie. Dlatego zwracam się do Was z prośbą o sprawdzenie loga Hijackthis. Chciałam też wkleić SillentRunners ale nie wygenerowało mi go, wyskoczył po jakimś czasie błąd “Wykonanie serwera nie powiodło się”.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:24:18, on 2007-08-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\user\Dane aplikacji\tmp6.tmp.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\DOCUME~1\user\USTAWI~1\Temp\tmp5.tmp.dll O2 - BHO: (no name) - {fce5e926-1680-4008-a5c7-52a0e20820ee} - C:\WINDOWS\system32\inetmmc.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program Files\Share_Accelerator_MM\tbShar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [bearFlix] “C:\Program Files\BearFlix\BearFlix.exe” /pause O4 - HKLM…\Run: [systemOptimizer] rundll32.exe “C:\WINDOWS\efcayv.dll”,forkonce O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\windows\system32\gebcyyx.dll O20 - Winlogon Notify: inetmmc - C:\WINDOWS\SYSTEM32\inetmmc.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\user\Dane aplikacji\tmp6.tmp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe – End of file - 4629 bytes
jessica
(jessica)
13 Sierpień 2007 18:09
#2
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\DOCUME~1\user\USTAWI~1\Temp\tmp5.tmp.dll O2 - BHO: (no name) - {fce5e926-1680-4008-a5c7-52a0e20820ee} - C:\WINDOWS\system32\inetmmc.dll O4 - HKLM…\Run: [systemOptimizer] rundll32.exe “C:\WINDOWS\efcayv.dll”,forkonce O20 - AppInit_DLLs: c:\windows\system32\gebcyyx.dll O20 - Winlogon Notify: inetmmc - C:\WINDOWS\SYSTEM32\inetmmc.dll O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\user\Dane aplikacji\tmp6.tmp.exe
Daj jeszcze log z ComboFixa:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654 (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
Zobaczymy, co ComboFix usunie samodzielnie, a co trzeba będzie usuwać inaczej.
Daj też nowy log z Hijacka, ale po użyciu ComboFixa i po sfiksowaniu tych w/w wpisów:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
.
nkolska
(Dzanet523)
14 Sierpień 2007 08:09
#3
Dzięki Jessica.
Wklejam linki:
log Combofix:
http://wklej.org/id/812d9c6ae0
log SilentRunners (się udało, nie wiem może się przyda):
http://www.wklej.org/id/3410b29026
nowy log Hijackthis:
http://www.wklej.org/id/e34e5f3962
Koputer zaczyna się troche “budzić”…
jessica
(jessica)
14 Sierpień 2007 08:22
#4
Z logu Sillenta wynika, że jest to pusty wpis, więc go sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Nic więcej podejrzanego w tych logach nie widzę.
To wszystko.
.
nkolska
(Dzanet523)
14 Sierpień 2007 18:49
#5
Wygląda na to, że komputer działa normalnie…
Jeszcze raz dzięki !